Google ha rimosso 41 applicazioni per Android dal Play Store ufficiale.
Le app erano infettate con un nuovo tipo di malware chiamato Judy. Gli esperti stimano che il malware abbia infettato tra gli 8,5 e i 36,5 milioni di utenti. Secondo le ricerche di Check Point le app erano disponibili sul Play Store da anni, ma per la maggior parte del tempo erano state pulite e libere da virus. Sembra che a partire da Aprile, le app siano state aggiornate con codici maligni. Lo scopo di questo codice era di avviare una browser app, caricare un URL e usare JavaScript per far cliccare in un banner specifico che avrebbe portato un grande profitto al creatore del malware.
Come operava il malware Judy.
Una volta che le vittime avevano installato l’applicazione sul proprio dispositivo, il malware si
connetteva ad un server C&C da cui riceveva il payload dannoso, contenente codice JavaScript, una stringa User Agent e diversi URL controllati dagli autori del malware. Il malware si connetteva a questi URL usando lo user-agent per spacciarsi per un normale browser per PC, ne caricava il contenuto in una pagina nascosta, quindi veniva reindirizzato verso un altro sito web. Una volta lanciato il sito web, il malware usava il codice di JavaScript scaricato in precedenza, identificava questi banner sulla pagina e simulava un gran numero di click su di esse, generando guadagni illeciti per l’autore del malware.
Una compagnia dietro le applicazione maligne.
Secondo Check Point, quasi tutte le app dannose erano state create da una compagnia del Sud Corea chiamata Kiniwini, ma registrata nel Play Store come ENISTUDIO corp. Non è chiaro ancora se i codici dannosi siano stati aggiunti dalla compagnia o se i server di questa siano stati compromessi da cyber criminali. In più, oltre all'attività di click illeciti, gli operatori del malware Judy inserivano nel dispositivo pubblicità intrusive nelle altre applicazioni, fino al punto di non permettere alla vittima di interagire con i contenuti delle app originali. È disponibile una lista di app infettate con il malware Judy in fondo all'articolo. Nonostante le app vengano revisionate periodicamente, il sistema di sicurezza del Play Store di Google chiamato Bouncer, non è riuscito a rilevare le attività maligne del malware. Ma c'è una novità.
Google ha annunciato un nuovo servizio per la sicurezza di Android.
Il 17 Maggio, durante l’evento annuale di Google I/O, Google ha annunciato un nuovo servizio chiamato Google Play Protect. Questo nuovo servizio scansiona in continuazione tutte le applicazioni per Android e i dispositivi degli utenti per rilevare comportamenti maligni e le attività sospette. Una volta rilevata un’applicazione maligna, la rimuove dai dispositivi di tutti gli utenti che l’hanno installata. Il nuovo servizio Google Play Protect è già in attività su tutti i dispositivi con l’app Google Play installata.
Clicca qui per ingrandire la tabella.
Nessun commento:
Posta un commento